- 2019年8月,乌克兰核电站雇员为了挖币而将部分内部网络连到外网,导致国家机密潜在泄露
- 2019年7月,美国国土安全部官员称,俄罗斯黑客入侵了美国电力公司的隔离网络
- 2019年6月,阿根廷和乌拉圭因互联电网发生“大规模故障”,导致全国性停电
- ……
关键基础设施领域硝烟四起,网络安全成关键屏障。此时,各国启动练兵,演习正当其时。
谈攻防演练,避不开中美。而近来美国最大规模攻防演练Cyber Storm VII落下帷幕,更让笔者对两国网络攻防演练对比生出好奇,因而有了这篇文章。
初探中美攻防演练
2016年开始,我国对网络攻防演练的重视和实战提上章程,并且在近几年不断常态化,民间机构、各大企业也尝试开展日常化的攻防演练,而网络靶场产品的涌现和应用则进一步推动了攻击演练的发展。
目前,我国的攻防演练的主要特点是
- 事先不通知
- 攻击手段不明确
- 以防攻击、防破坏、防泄密、防重大网络安全故障为重点
在攻防设置上和国外相反,即:
- 蓝军为攻击方:包括网警、测评中心、安全公司等。
- 红军为防守方:包括政府机构、国有企业、高校和医院等。
此外,还设置了“裁判”角色对攻防双方进行打分。每次演练时长在3周,一般会提前确定参演名单。
主要规则为:攻击方即获取权限、获取数据、远程控制等;防守方为发现攻击、消除威胁、应急响应等。通过攻防演练及时发现安全问题,快速整改。
不过,尽管我国在攻防演练上已经积累了一定经验,但和美国、北约等相比,起步较晚。早在2010年,北约联盟就启动为期5天的攻防演练,主要攻击范围为模拟的海军基地、电站等关键信息建设设备。而美国在这一领域的经验则更为丰富。
美国比较成熟的攻防演练类型包括Cyber Guard、Cyber Flag以及Cyber Storm。
- Cyber Guard,传说中美国国防部警卫队的磨练场。由美国网络司令部、美国国土安全部和美国联邦调查局联合举办的一年一度的网络演习。
整个演习环境在一个封闭的模拟网络中,参与者可以真正体验在时间紧迫的情况下,承受巨大压力进行攻防对抗。
根据美国网络司令部司令Michael Rogers的说法,Cyber Guard主要是在磨练网络战下,国防部麾下各支力量(现役、预备役与国民警卫队)间的协作能力。因此,演习期间的训练成果比起比赛结果赢输更为重要。
- Cyber Flag,同样由美国网络司令部主导,为一年一度的联合网络空间训练演习,主要参演人员是美国的网络空间部队。
值得注意的是,在演习中除了红蓝队,还存在一个白队。“白队”主要负责演习评估,人数默认在5人及以上,其中1人派驻在控制室中控制演习进程,1人跟随“红队”,3人或3人以上跟随“蓝队”,观察其行动并将结果录入数据库。
而在Cyber Flag 2019中,就有来自国防部,其他联邦机构和合作伙伴国家的650多名网络专业人员参与演练,围绕针对工业控制系统和数据采集网络进行攻防。同时,为了确保演习更具备现实意义和针对性,攻击方使用的战术、技术还会模仿特定民族国家和黑客组织。
- 最后是Cyber Storm——网络风暴,相对来说似乎名气更为大一些。
该演练由美国国土安全部主导的,约两年举办一次,每次演习5天,迄今已举行过7次。
透视Cyber Storm VII
每届“网络风暴”演习都会以先前发生的真实事件为基础,通过演练最新的应急响应政策、流程和程序,加强美国在应对影响范围波及多个行业的网络攻击的网络安全战备和应急处置能力。至于具体的演习内容和演习方式则会不断完善。
此前,我们分享过历届Cyber Storm的特点:
以刚结束的Cyber Storm VII(此前默认2019年11月,美国首次与台湾省共同举行的演练为Cyber Storm VII,但“官方”并没有承认)为例,今年的规模再次扩大,人数达到2000+,针对行业覆盖医疗保健、制造业和其他关键领域。
尽管此次演练并没有攻击特定的系统,但互联网的一些关键流程和基础设施依旧是主角,尤其是DNS(域名系统)证书颁发机构、BGP(边界网关协议)等。
此外,值得注意的是,Cyber Storm VII的几个要点:
- 建立在以往演习成果和网络安全格局变化的基础上;
- 评估和提高网络响应机构的能力;
- 促进公私伙伴关系并加强联系;
- 整合新的关键基础设施合作伙伴,同时为退伍军人提供回来的机会。
基于美国Cyber Storm的发展,可以发现,从参演方来看,Cyber Storm的参与人数不断增加,且由最开始的联邦政府发展到全球多国参与其中,从攻击侧重点来看,越来越多的行业参与演习(医疗、制造、运输等),但核心依然是关键基础设施。
此外,在网络安全体系建设中就奉行军民融合的美国,将这一理念同样贯彻到了攻防演练之中,美国充分借助民间优势,强化军政民多向合作,持续增强网络攻防和支援能力。
而在Cyber Storm的成功背后,政府的2个作为同样不能忽视:
- 协调多方参演:美国一向试图掌握全球网络空间话语权,这一点从美国的安全体系建设、分层网络威胁战略、频繁的APT归因等操作中可见,事实证明也有所成效。在多次Cyber Storm中,美国能够协调多方参演,包括五眼联盟和其他国家,一定程度上提升了攻防演练的有效性(得以发现更多安全问题)。
- 前期立法铺垫:美国先后颁布了大量保障关键基础设施的法律文件,如《国家基础设施保护计划》、《提高关键基础设施的网络安全》、《提高关键基础设施的安全性和恢复力》等,此外还推出了网络威胁情报共享协议(STIX、Cybox、TAXII),成立网络威胁情报共享国际标准化组织OASIS……为攻防演练的开展提供了支撑。
攻防演练发展趋势
如今,美国已然把网络空间纳入其国防体系中,进行统一规划,而在网络空间并不平静的当下乃至未来,各国都在为提升国家网络安全做准备,我国也在重新审视网络安全问题,将视角转移到更高级别的“攻防对抗”上,攻防演练的重要性不言而喻。
可以预见的是:
- 关键信息基础设施至少会在很长一段时间是攻防演练重头戏
- 攻防演练对企业/机构的安全能力提出更高的要求,即从被动防御和基本合规走向主动防御、实战驱动
- 政府牵头,多方协作是攻防演练规模体系化成长的必要因素
- 关键机构和重要企事业单位之间的协同、信息共享是攻防演练效益提升的重要推动
此外,构建第三方专业攻击队伍/平台,设定更具针对性和全面性的攻击场景是检验安全能力的重要工作,目前仍需不断提升。
最后,建议强化、深化关键信息基础设施保护领域的网络安全信息共享标准,为攻防演练提供法律法规的指导,也要重视演练实战中人员的表现,开展考核奖励机制,并将网络攻防演练作为各企事业单位,乃至国家层面培养网络安全人才的创新型培养模式。